Zum Inhalt springen
Start Advisories Ransomware Podcasts Bücher Creators Speaker Firmen Karriere Events Cyberwald-Netzwerk Matrix-Server Besucherstatistik Suche
News

Ein neuer Maßstab für „souveräne“ Clouds – das BSI gibt vor

Stefan Pilarczyk ·
Ein neuer Maßstab für „souveräne“ Clouds – das BSI gibt vor

Mit dem Kriterienkatalog „Criteria enabling Cloud Computing Autonomy“ (C3A) hat das BSI erstmals einen klaren, messbaren Rahmen vorgelegt, wann eine Cloud‑Lösung als souverän gilt und wie weit Nutzerinnen und Nutzer ihre Infrastruktur noch selbst bestimmen können. Damit geht das BSI einen Schritt weiter als bei reinen Sicherheitskriterien: C3A legt Standards für strategische Kontrolle, rechtliche Unabhängigkeit, Datenhoheit, operativen Betrieb, Lieferkette und Technologie fest und macht Souveränität in der Cloud plötzlich auditierbar. Warum „souveräne Cloud“ mehr als nur ein Buzzword ist

Der Hintergrund ist klar

Die Abhängigkeit von wenigen großen US‑Cloud‑Anbietern, die unter anderem dem CLOUD Act unterliegen, wird als strategisches Risiko für Behörden und Unternehmen in Deutschland und Europa angesehen. Unter dem Begriff „Cyber Dominance“ beschreibt das BSI die Möglichkeit, dass Anbieter dauerhaft Einfluss auf Systeme, Daten und Betriebsmodelle ihrer Kunden behalten – etwa durch dominante APIs, proprietäre Betriebsmodelle oder untransparente Lieferketten.

C3A setzt dort an, wo C5 (BSI Cloud Computing Compliance Criteria Catalogue) endet: C5 legt Mindeststandards für Sicherheit fest, während C3A die „Selbstbestimmtheit“ der Cloud‑Nutzung bewertet. Technisch orientiert sich C3A am EU‑Cloud‑Souveränitäts‑Framework (EU CSF) und überträgt dessen sechs Souveränitätsziele in konkrete, überprüfbare Kriterien. Entscheidend: Die Kriterien sind nicht per Gesetz verbindlich, aber sie werden sich voraussichtlich in Ausschreibungen, Rahmenverträgen und interner IT‑Governance schnell als neuer Referenzstandard etablieren. Die sechs Säulen einer souveränen Cloud nach C3A

Der C3A‑Katalog bündelt Souveränität in sechs Kriterienbereiche, die sich für IT‑ und Sicherheitsverantwortliche gut in ein Prüf- bzw. Auswahl‑Rippenbild übertragen lassen.

  • Strategische Souveränität: Hier geht es um Eigentümerstruktur, Governance und strategische Unabhängigkeit – etwa der Sitz des Anbieters in der EU sowie die Tatsache, dass Europäer die wesentlichen Entscheidungen treffen. Für Vergaben und Rahmenverträge wird dies zukünftig eine zentrale Ausschluss‑ bzw. Priorisierungskriterie werden.

  • Rechtliche Souveränität: Anbieter müssen offenlegen, ob sie Gesetzen unterliegen, die extraterritoriale Datennutzung (z.B. CLOUD Act) erlauben könnten, und wie Audit‑ und Kontrollrechte geregelt sind. Rechtsvertrautheit und Transparenz im SLA sowie im Prozessfall werden hier messbar.

  • Datenhoheit („Data Sovereignty“): Neben der reinen Datenlokalisierung spielt das Schlüsselmanagement eine Schlüsselrolle – Kunden müssen ihre Verschlüsselungsschlüssel selbst verwalten können, etwa über eigene KMS‑Instanzen oder externe Key‑Provider. Logging‑ und Monitoring‑Funktionen, die den Nutzer in die Lage versetzen, Zugriffe auf seine Daten nachzuvollziehen, sind ebenfalls abgekündigt.

  • Operative Autonomie: C3A verlangt, dass der Betrieb auch bei externen Störungen weiterlaufen kann – etwa durch gut definierte „Disconnect“‑Szenarien, in denen Verfügbarkeit, Integrität und Vertraulichkeit gewahrt bleiben. Auch die Frage, ob kritische Betriebsrollen EU‑Bürgerinnen oder ‑Bürger besetzen, wird als Schutz vor unbefugtem Zugriff auf Daten über Staatsebene thematisiert.

  • Lieferketten und Abhängigkeiten: Die Anbieter müssen Transparenz über ihre Software‑ und Hardware‑Lieferketten schaffen, etwa durch Software‑Bill‑of‑Materials (SBOM) und eine Liste relevanter Hardware‑Lieferanten mit Herkunftsländern. Ziel ist, geopolitisch riskante Ein‑Quell‑Abhängigkeiten zu erkennen und mit Alternativen oder Substitutionsstrategien zu entschärfen.

  • Technologische Souveränität: Hier steht die Verfügbarkeit des Quellcodes für den Cloud‑Anbieter im Vordergrund, damit der Betrieb ohne externe Abhängigkeiten weitergeführt werden kann. Auch sichere Backups von Code und Dokumentation in der EU sind gefordert, um den Betrieb auch bei Abbruch von Kooperationen zu sichern.

Praxisimpulse für Unternehmen

Für viele Organisationen ist C3A ein erster konkreter Schritt vom „Wunsch nach Souveränität“ hin zu einem prüfbaren Rahmen. Indem C3A Souveränität in sechs klar definierten Kriterienbereichen ausdrückt – von strategischer Unabhängigkeit über rechtliche Rahmenbedingungen bis hin zu Datenhoheit, operativer Autonomie, Lieferketten‑Transparenz und technologischer Selbstbestimmung – entsteht eine gemeinsame Sprache für Diskussionen um Cloud‑Architekturen, Provider‑Auswahl und Governance.

Gerade für die Community von IT‑ und Sicherheitsverantwortlichen bietet sich die Möglichkeit, C3A als gemeinsame Grundlage für Erfahrungsaustausch, Best‑Practice‑Diskussionen und typische Umsetzungsfragen zu nutzen: Wie weit lässt sich Souveränität in Hybrid‑ und Multi‑Cloud‑Szenarien praktisch umsetzen? An welchen Stellen reichen technische Maßnahmen aus, an welchen wird rechtliche und organisatorische Steuerung benötigt? Und wie lässt sich ein sinnvoller Mittelweg zwischen maximaler Unabhängigkeit und betriebswirtschaftlicher Effizienz finden?

Indem sich Unternehmen, Behörden und Technik‑Teams an diesen Kriterien orientieren, können sie nicht nur ihre eigene Risikolage besser strukturieren, sondern auch gemeinsam Erfahrungen sammeln, Muster erkennen und so die Praxis der „souveränen Cloud“ in Deutschland und Europa weiterentwickeln. C3A ist somit mehr als ein Katalog – es ist ein gemeinsamer Referenzpunkt, an dem sich die Community orientieren kann, wenn sie darüber diskutiert, wie IT‑Souveränität in der Cloud tatsächlich aussehen kann.

Quellen:

www.heise.de bsi.bund.de

Stefan Pilarczyk

Geschrieben von

Stefan Pilarczyk